セキュリティの専門家として、リスクマネジメントに関する会議に出席すること、インシデントレスポンスチームの一員として、構築からインシデント発生後の報告までを担当すること、どちらも共通するのは、「もしもそれが起こったらなら」というシナリオです。

業務に関係なく、すべての関係者が最も関心を寄せているのは、 「いつになったら通常業務に戻れるのか」です。

このような状況に直面したとき、事業継続と災害復旧の必要性を認識することは、事業そのものと同じくらい重要なことです。事業継続と災害復旧の計画は、「もしも」の時のためのものだけではありません。ビジネスが中断した場合、次のステップを考える必要があります。

実際に起きた例

ビジネスが中断された事例を見つけることは、それほど難しいことではありません。2016年のDYN DNS攻撃から、最近のITサービスプロバイダーCognizant社に対するランサムウェア攻撃まで、経営者が頭を悩ませるような新しい出来事が毎日ニュースになっています。このような事例から、企業は常に攻撃にさらされていると考えがちですが、ビジネスの中断は悪意ある行為によって引き起こされるものばかりではありません。悪天候や健康上の問題、さらには工事中のアクシデントによる光ケーブルの切断といった簡単なことでさえ、ビジネスを中断させる可能性があるのです。

事業継続/災害復旧

まず、この2つの用語は同じではないことを明確にすることが重要です。事業継続とは、中断が発生した後、事業活動を正常な状態に回復させることです。災害復旧とは、IT機能を正常な状態に回復させるための具体的な手法のことです。

この2つを区別する1つの方法として、事業継続(Business Continuity)の「B」を「The Big Picture」、つまり事業体全体に関わることだと考えることです。"B "は「Big」の意味です。

事業継続と災害復旧の両方が絡み合っていますが、よく考えてみると、事業継続の特定の領域にITが含まれていないことがわかります。例えば、気象現象による事業所の閉鎖は、必ずしもITに関係しません。サプライチェーンの障害も同様です。しかし、サプライヤーがクラウドベースのデータ施設である場合、サプライチェーンの問題は、事業継続と災害復旧の両方での対応が必要となります。

計画の前に、ポリシーを策定

どのような種類の事業継続または災害復旧戦略であっても、ポリシーの策定から始める必要があります。よくあるのは、計画を立てたものの、ビジネスリーダーからの必要なインプットが不足しているケースです。計画を立てるためには、コスト関連で組織のトップの承認を得ることが大切です。しかし、対応をすればするほど、コストも嵩みます。例えば、リアルタイムでミラーサイト（「ホットサイト」とも言う）を立てるのは、非常に魅力的ですが、最もコストがかかります。その他、コールドサイト、ウォームサイト、ハイブリッドセットアップなど様々な選択肢がありますが、いずれもコスト面での考慮が必要です。

このようなコスト的な影響を想定するためには、ポリシーを明確にし、期待値を設定する必要があります。そこで、インシデントレスポンスとリスクマネジメントを相互に関連付け、計画を立てる必要があります。それは、「もしも」が「今」に出会う瞬間です。最も重要なことは、これは一部門だけの取り組みではないということです。ポリシーの策定には、組織のあらゆる部門の参加が必要であり、訓練を受けたセキュリティ担当者を組織に含めることで大きなメリットが得られます。

潜在的な影響とは？

災害復旧計画（DRP：Disaster Recovery Plan）と事業継続計画（BCP：Business Continuity Plan）をリスクマネジメントとインシデントレスポンスで取り入れるためには、特定の事象または一連の事象がビジネスに与える影響を考慮する必要があります。期待値の合意がとれたら、ビジネスインパクト分析（BIA：Business Impact Analysis ）を実施する必要があります。分析では、各ビジネス機能に重要度レベルを割り当て、最大許容停止時間（MTD：Maximum Tolerable Downtime）と最大許容中断期間（MTPoD：Maximum Tolerable Period of Disruption)を示します。この2つは、目標復旧時間（RTO：Recovery Time Objective）と目標復旧地点（RPO：Recovery Point Objective）のアプローチに直接つながります。

目標復旧時間（RTO）と目標復旧地点（RPO）

目標復旧時間（RTO）と目標復旧地点（RPO）は、ビジネスの期待値管理をするための重要な要素です。

大半のビジネスリーダーは、"いつ直るのか"という疑問を抱いています。 セキュリティ専門家は、これを目標復旧時間（RTO）と認識しています。目標復旧時間（RTO）とは、ビジネス機能を復旧させるために予想される時間のことです。災害復旧に関しては、検証を通じて定量化することができます。例えば、失敗した会計システムを稼働させるのに、どれくらいの時間がかかるのか。それは、経験に基づき、検証することができます。事業継続に関しては、定量化することは難しいです。

目標復旧地点（RPO）は、時間が止まった状態と考えることができます。これは、中断が発生した時点からどの時点まで復旧するかです。例えば、お客様のビジネスがリアルタイムでない場合、目標復旧地点（RPO）の範囲は非常に広くなる可能性があります。もし、12時間ごとにしかデータのスナップショットやバックアップを取らないのであれば、目標復旧地点（RPO）はその最後のバックアップしか反映させることができません。しかし、トランザクションシステムを運用している場合は、目標復旧地点（RPO）はもっと短くなります。これは見落とされがちな部分であり、ポリシーの中でこの期待値を明確に記載することが重要です。この期待値を正しく記載しておくことで、復旧作業の成功と失敗を見分けることができます。目標復旧地点（RPO）は常に災害復旧の運用の一部です。事業継続のシナリオが目標復旧地点（RPO）関連することは極めて稀です。ビジネスが中断した場合、どの時点までの業務を復旧するか、考える必要はありません。

これらの考えを最大許容停止時間（MTD：Maximum Tolerable Downtime）の考慮事項に結び付けるには、目標復旧時間（RTO）と目標復旧地点（RPO）が最大許容停止時間（MTD）未満である必要があることに注意することが重要です。そうでない場合、計画全体が失敗と見なされます。訓練を受けたセキュリティ専門家は、ビジネスリーダーのコンセプトを実行可能な行動計画にする手助けができる、組織で最も優れた人物です。

有形無形の結果

どのような危機であっても、有形無形の結果を考慮する必要があります。前述したように、期待値の管理はポリシー策定における重要な部分です。同様に、混乱がもたらす有形無形の結果についても、ポリシーに記載しないまでも、少なくともポリシーを策定する際の議論に含めるべきです。

ビジネスの中断がもたらす具体的な影響としては、処理時間の増加、収益の損失、サービスレベル契約の不履行、生産性の損失などが挙げられます。これらはすべて正確な数値で計算できるため、このような測定値のサンプルの一部は、継続性のポリシーと計画の前文に含める必要があります。

お客様の信頼失墜、従業員のモラル低下、広報活動への悪影響などをきたす、無形の影響についての定量化は容易ではありませんが、測定可能な成果と同様に組織にダメージを与える可能性があるため、見過ごすわけにはいきません。これらはすべて、組織のリーダーがビジネスが混乱するなか、どのように対応するかにかかっています。史上最も悪名高い不正侵入の一つに示されているように、正しく対応できないと、悪影響が生じる可能性があります。逆に言えば 正しい対応は、企業イメージを向上させることができます。

継続的なサイクルの構築

このように、事業継続と災害復旧の計画について簡単に説明すると、このようなプロジェクトに必要なすべての構成要素を幅広く理解するだけでなく、リスクマネジメントやインシデントレスポンスに関する専門的なトレーニングも必要となることがわかります。このような計画の作成と維持には、それぞれの分野の複数部門の参加が必要ですが、 すべてのパーツを組み合わせることができるのは、セキュリティ実務担当者であると言えます。ISC2のSSCP(Systems Security Certified Practitioner)トレーニングは、事業継続や災害復旧のあらゆる場面で活躍するために必要なスキルを身につけるために最適です。

最も重要なことは、これらの計画は「立てたら忘れる」プロジェクトではないということです。事業のライフサイクルにおいて、これらの計画は、ビジネス環境全体と個々の組織の発展に合わせて、常に更新する必要があります。計画を検証するための演習にはさまざまな種類があり、それらの演習をセキュリティ実務担当者が監督する必要があります。

責任の共有

通常のオペレーションに復旧する責任は技術チームに大きくのしかかります。その中で、セキュリティ実務担当者は、災害前の計画と継続的な計画の維持においてキーパーソンとなります。セキュリティ実務担当者の責任は、現在および将来において何が起こるかを予測するだけでなく、通常のオペレーションに復旧するための方法を策定することにあります。

事業継続と災害復旧の必要性については、当社のホワイトペーパー「サイバーセキュリティ・ヒーローになるには」をご覧ください。

SSCPがどのように役立つか

SSCP（Systems Security Certified Practitioner ）を取得すること以上に、自身のテクニカルスキルとセキュリティの知識をアピールする方法はありません。経験豊富なセキュリティ専門家にとっても、サイバーセキュリティ分野に足を踏み入れたばかりの方にとっても、ISC2が認定するSSCPの取得は、あらゆる組織の機密性、完全性、可用性を確保するためのセキュリティ手順および制御を実装、監視、および管理する能力を強化するための理想的な方法です。

原文記事：https://blog.isc2.org/isc2_blog/2021/06/business-continuity.html